Noplūda Samsung atslēga Android lietotņu parakstīšanai, ko izmanto, lai parakstītu ļaunprātīgu programmatūru

Izstrādātāja parakstīšanas kriptogrāfiskā atslēga ir viens no galvenajiem Android drošības pīlāriem. Ikreiz, kad Android atjaunina lietotni, vecās lietotnes parakstīšanas atslēgai tālrunī ir jāatbilst instalējamajai atjaunināšanas atslēgai. Atbilstošās atslēgas nodrošina, ka atjauninājumu patiešām nodrošina uzņēmums, kas sākotnēji izveidoja jūsu lietotni, un tas nav ļaunprātīgs pārņemšanas plāns. Ja izstrādātāja parakstīšanas atslēga tiek nopludināta, ikviens var izplatīt ļaunprātīgus lietotņu atjauninājumus, un Android tos ar prieku instalēs, uzskatot, ka tie ir likumīgi.

Operētājsistēmā Android lietotņu atjaunināšanas process attiecas ne tikai uz lietotnēm, kas lejupielādētas no lietotņu veikala, bet arī varat atjaunināt iebūvētās sistēmas lietotnes, ko izveidojis Google, jūsu ierīces ražotājs, kā arī citas saistītas lietotnes. Lai gan lejupielādētajām lietotnēm ir stingrs atļauju un vadīklu kopums, Android iebūvētajām sistēmas lietotnēm ir piekļuve daudz jaudīgākām un invazīvākām atļaujām, un uz tām neattiecas parastie Play veikala ierobežojumi (tāpēc Facebook vienmēr maksā par komplektā iekļauto lietotni). Ja trešās puses izstrādātājs kādreiz pazaudē savu parakstīšanas atslēgu, tas būtu slikti. Ja Android OEM kādreiz pazaudētu sistēmas lietotnes parakstīšanas atslēgu, tas būtu ļoti, ļoti slikti.

Uzminiet, kas noticis! Lukašs Severskis, Google Android drošības komandas loceklis, publicēja ziņu par Android partneru ievainojamības iniciatīvas (AVPI) problēmu izsekotāju, kurā sīki aprakstīta platformas sertifikāta atslēgu noplūde , kas tiek plaši izmantota ļaunprātīgas programmatūras parakstīšanai. Ziņa ir tikai atslēgu saraksts, taču, palaižot katru no tām, izmantojot APKMirror vai Google VirusTotal vietni, tiks nosauktas dažas apdraudētas atslēgas: Samsung , LG un Mediatek ir lieli spēlētāji nopludināto atslēgu sarakstā, kā arī daži mazāki oriģinālo iekārtu ražotāji, piemēram, Review un Szroco, kas ražo Onn planšetdatorus uzņēmumam Walmart.

Šie uzņēmumi kaut kādā veidā nopludināja savas parakstīšanas atslēgas nepiederošām personām, un tagad jūs nevarat uzticēties, ka lietojumprogrammas, kas apgalvo, ka tās ir no šiem uzņēmumiem, patiešām ir no viņiem. Vēl sliktāk, viņu pazaudētajām “platformas sertifikāta atslēgām” ir nopietnas atļaujas. Citējot AVPI ziņu:

Platformas sertifikāts ir lietojumprogrammas parakstīšanas sertifikāts, ko izmanto Android lietojumprogrammas parakstīšanai sistēmas attēlā. Android lietotne darbojas ar ļoti priviliģētu lietotāja ID android.uid.system, un tajā ir sistēmas atļaujas, tostarp atļaujas piekļūt lietotāja datiem. Jebkura cita lietojumprogramma, kas parakstīta ar tādu pašu sertifikātu, var paziņot, ka vēlas strādāt ar to pašu lietotāja ID, piešķirot tai tāda paša līmeņa piekļuvi Android operētājsistēmai.